"אפליקציית דיפסיק מלאה חורי אבטחה"

חברת אבטחת מובייל מצאה שהאפליקציה של דיפסיק למערכת ההפעלה של אפל, iOS, שופעת בעיות אבטחה בולטות, ובראשן – היא שולחת נתוני משתמשים רגישים ללא כל הצפנה, וכך חושפת אותה למתקפות ולמניפולציות. כמו כן, החברה, נאו סקיור, גילתה בבדיקה שערכה שהאפליקציה לא עומדת בנהלי האבטחה, ושהיא אוספת נתוני משתמשים ומכשירים באופן נרחב.

"אפליקציית דיפסיק ל-iOS שולחת חלק מרישום האפליקציות לנייד ונתוני המכשיר באינטרנט – וללא הצפנה", מסרה החברה. "מצב זה חושף כל מידע בתעבורת האינטרנט להתקפות פסיביות ואקטיביות כאחד".

השרתים של דיפסיק מנוהלים על ידי חברה בבעלות בייטדאנס

לפי הממצאים, הנתונים נשלחים לשרתים המנוהלים על ידי פלטפורמת מחשוב ואחסון ענן בשם וולקנו אנג'ין. זו נמצאת בבעלות בייטדאנס הסינית – שהיא גם הבעלים של טיקטוק. לפי חוקי סין, הממשל יכול לקבל גישה לשרתים המחזיקים בנתונים אלה.

עוד כתבו חוקרי החברה כי "אפליקציית דיפסיק ל-iOS משביתה את ה-ATS (ר"ת App Transport Security – אבטחת תנועה באפליקציה). זוהי הגנה ברמת פלטפורמת iOS, שמונעת שליחת נתונים רגישים בערוצים לא מוצפנים. כשההגנה הזו מושבתת, האפליקציה יכולה לשלוח – ושולחת – נתונים לא מוצפנים באינטרנט".

לפי החוקרים, לצד שידור נתונים באופן לא מוצפן, שימוש בהצפנות חלשות ואחסון נתונים בצורה שאינה מאובטחת – האפליקציה גם אוספת את נתוני המשתמש והמכשיר שלו. זה סימן שעלול להעיד על כוונה של דיפסיק לאתר משתמשים ספציפיים.

רשימה גדולה של חששות סביב דיפסיק

מומחים ציינו שהממצאים החדשים מתווספים לרשימה הולכת וגדלה של חששות שהועלו סביב דיפסיק – שירות צ'טבוטים סיני, מבוסס מודלי בינה מלאכותית יוצרת, שהולך וצובר פופולריות והורדות שיא בחנויות האפליקציות ברחבי העולם.

כך, צ'ק פוינט זיהתה מקרים שבהם האקרים השתמשו במנועי ה-AI של דיפסיק, וכן Qwen של עליבאבא ו-ChatGPT של OpenAI, כדי "לפתח יכולות לגניבת מידע, ליצור תוכן לא מצונזר או בלתי מוגבל ולייעל משלוח של סקריפטים לטובת הפצת ספאם באופן המוני".

לפי נאו סקיור, "ככל ששחקני איום משתמשים בטכניקות מתקדמות כדי לעקוף אמצעי הגנה ולפתח גנבי מידע, גניבה פיננסית והפצת ספאם, ארגונים נדרשים ליישם בדחיפות הגנות פרו-אקטיביות נגד אותם איומים מתפתחים. עליהם לבנות הגנות חזקות מפני שימוש פוטנציאלי לרעה בטכנולוגיות AI".

ארה"ב: מחוקקים פועלים לאיסור על שימוש בדיפסיק בממשל

כמו במקרה של טיקטוק, עובדת היותה של דיפסיק סינית הניעה מחוקקים בארצות הברית לדחוף לאיסור כלל ארצי על שימוש באפליקציה שלה במכשירים ממשלתיים. זאת, בשל סיכונים שהיא עלולה לספק מידע על משתמשים לבייג'ינג. יצוין כי כמה גופים בולטים בארצות הברית – הקונגרס, נאס"א, חיל הים, הפנטגון ומדינת טקסס – אסרו על השימוש בדיפסיק במכשירים שלהם. כמה מדינות, ביניהן אוסטרליה, הולנד, טייוואן ודרום קוריאה, אוסרות גם הן על שימוש בדיפסיק במכשירים ממשלתיים. איטליה חסמה את דיפסיק בתחילת החודש לחלוטין מפעילות במדינה.

אולם, האיסורים לא מונעים מפושעי סייבר לנצל את הטירוף סביב דיפסיק כדי להקים דפים באתרים מזויפים במטרה להפיץ נוזקות, ולערוך הונאות השקעה מזויפות והונאות של מטבעות קריפטוגרפיים.

לא התקבלו תגובות אפל ודיפסיק לפניות של כלי תקשורת בארצות הברית.